NTFS权限是对文件夹设置的 可以说对用户对文件夹有什么权限就是看NTFS权限
而共享权限仅在你共享文件夹的时候出现 而网络上的用户要访问共享文件夹的时候要看NTFS+共享权限的交集
不过一般共享设成完全控制 具体的权限还是在NTFS权限上面设置的 这样不仅仅对网络访问的用户有效 而且对本地的用户也有效
不过只用格式为NTFS的盘才有安全这个选项 才能设置NTFS权限 而FAT32是没有这个选项的
提NTFS权限不妨先介绍一下FAT和NTFS。
FAT16:DOS、Windows95都使用FAT16文件系统, Windows98/2000/XP等系统均支持FAT16文件系统。FAT16最大可以管理大到2GB的分区,但每个分区最多只能有65525个簇。随 着硬盘或分区容量的增大,每个簇所占的空间将越来越大,从而导致硬盘空间的浪费。
FAT32: FAT16的增强版本,可以支持大到2TB(2048GB)的分区。FAT32使用的簇比FAT16小,从而有效地节约了硬盘空间。
NTFS: 微软WindowsNT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。随着以NT为内核的 Windows2000/XP的普及,很多个人用户开始用到了NTFS。NTFS也是以簇为单位来存储数据文件,但NTFS中簇的大小并不依赖于磁盘或分 区的大小。簇尺寸的缩小不但降低了磁盘空间的浪费,还减少了产生磁盘碎片的可能。NTFS支持文件加密管理功能,可为用户提供更高层次的安全保证。
不 过一般共享设成完全控制,具体的权限还是在NTFS权限上面设置的,这样不仅仅对网络访问的用户有效,而且对本地的用户也有效。也就是共享权限仅在共享文 件夹的时候出现,而网络上的用户要访问共享文件夹的时候要看NTFS+共享权限的交集。NTFS权限是对文件夹设置的,可以说对用户对文件夹有什么权限就 是看NTFS权限。
共享权限只对远程用户有效,NTFS权限对本地和未远程都有效
共享的权限只能控制网络访问,不能控制本机访问,适合任何分区,但权限的种类少。
NTFS安全权限对本机和网络访问都能控制,权限种类多,适合精确控制。
实际应用中,对网络共享多采用NTFS权限。
对于本地用户只适用于NTFS
对于远程用户是两者之间最为严格的权限,即如果共享充许写,而NTFS不允许则结果是不允许
反之如果共享不充许写,即使NTFS允许则结果仍是不允许。
share permission applies to all shared subfolder/files,共享权限是继承的,对其子元素有作用限制。
ntfs permission can be applied to individual subfolder and files. ntfs权限非继承的,不会对其子元素作用。
即共享对所有文件及目录生效,包括其所有子文件夹和子文件夹下的文件。Ntfs则不会。
NTFS 权限原则
下面是分配 NTFS 权限的原则:
•使用 NTFS 权限控制对文件和文件夹的访问。
•将权限分配给组而不是单独用户。
•NTFS 文件权限优先于 NTFS 文件夹权限。
•管理员以及文件或文件夹的所有者控制可为该对象设置的权限。
•在更改文件夹权限时,应了解服务器上安装的程序。程序会创建自己的文件夹并打开“允许从父系来的继承权限传播到这个对象”设置。如果更改了父文件夹中的权限,则这些更改可能会导致程序中出现问题。
下 面的示例将授予对文件夹的读写权限,而不为新文件创建继承项。因此,此文件夹中的新建文件不会收到 TestUser 的 ACE。对于现有文件,将创建具有读取权限的 ACE。在命令提示符下键入 XCACLS *.* /G TestUser:R;RW /E,然后按 Enter键。
通过Xcacls.exe工具修改 NTFS 权限
Xcacls.exe 语法
xcacls 文件名 [/T] [/E] [/C] [/G user:perm;spec] [/R 用户] [/P user:perm;spec [...]] [/D 用户 [...]] [/Y]
其中文件名表示 ACL 或访问控制项 (ACE) 通常应用于的文件或文件夹的名称。所有标准通配符均可使用。
/T 递归检查当前文件夹及其所有子文件夹,对匹配的文件或文件夹应用所选的访问权限。
/E 编辑 ACL 而不替换它。例如,如果您运行 XCACLS test.dat /G Administrator:F 命令,则只有管理员拥有对 Test.dat 文件的访问权限。之前应用的所有 ACE 都会丢失。
/C 使 Xcacls.exe 在出现“拒绝访问”错误消息时继续执行。如果未指定 /C,则 Xcacls.exe 在出现此错误时停止执行。
/G user:perm;spec 授予用户对匹配文件或文件夹的访问权限。
•perm(权限)变量对文件应用指定的访问权限,并代表文件夹的特殊文件访问权限掩码。perm 变量接受下列值:
•R 读取
•C 更改(写入)
•F 完全控制
•P 更改权限(特殊访问权限)
•O 取得所有权(特殊访问权限)
•X 执行(特殊访问权限)
•E 读取(特殊访问权限)
•W 写入(特殊访问权限)
•D 删除(特殊访问权限)
•spec(特殊访问权限)变量仅应用于文件夹,它除了接受与 perm 相同的值以外,还接受以下特殊值:
•T 未指定。为目录本身设置 ACE,而不指定应用于在该目录中创建的新文件的 ACE。至少存在一个要遵循的访问权限。分号 (;) 和 T 之间的项将被忽略。注意:
•文件的访问权限选项(针对文件夹、特殊文件和文件夹访问)是完全相同的。有关这些选项的详细说明,请参阅 Windows 2000 操作系统的文档。
•所有其他选项(它们也可以在 Windows 资源管理器中设置)都是基本访问权限的所有可能组合的子集。因此,不存在文件夹访问权限(如 LIST 或 READ)的特殊选项。
/R 用户为指定用户调用所有访问权限。
/P user:perm;spec 替换用户的访问权限。指定 perm 和 spec 的规则与 /G 选项相同。请参阅本文的“Xcacls.exe 示例”部分。
/D 用户拒绝用户访问文件或目录。
/Y 禁止在替换用户访问权限时出现确认提示。默认情况下,CACLS 要求确认。由于存在此功能,在批处理例程中使用 CACLS 时,例程将停止响应并等待输入正确答案。引入 /Y 选项后可消除此确认,从而可以在批处理模式下使用 Xcacls.exe。
记住交集—二者权限的交集;但是当ntfs 没有设置时候,默认为共享权限,即ntfs权限为无穷大;ntfs一旦设置了就取交集了。
Others:WSH-〉CScript
C:/Documents and Settings/Lavinia>Wscript.exe
C:/Documents and Settings/Lavinia>Cscript.exe
用法:CScript scriptname.extension [option...] [arguments...]
选项:
//B 批模式:不显示脚本错误及提示信息
//D 启用 Active Debugging
//E:engine 使用执行脚本的引擎
//H:CScript 将默认的脚本宿主改为 CScript.exe
//H:WScript 将默认的脚本宿主改为 WScript.exe (默认)
//I 交互模式(默认,与 //B 相对)
//Job:xxxx 执行一个 WSF 工作
//Logo 显示徽标(默认)
//Nologo 不显示徽标:执行时不显示标志
//S 为该用户保存当前命令行选项
//T:nn 超时设定秒:允许脚本运行的最长时间
//X 在调试器中执行脚本
//U 用 Unicode 表示来自控制台的重定向 I/O